[지디넷코리아]지난 수십 년간 출시된 모든 윈도우 운영체재 중 비스타를 제외하고는 전부 제3의 기관의 도움을 의뢰하여 소비자들의 보안을 유지하는 방식을 이용했다.

이 제품들은 비단 소비자들뿐만 아니라, 법인 사용자들까지도 바이러스, 스파이웨어, 트로이 목마, 웜, 그리고 최근 등장한 룻킷(rootkits) 등에 대해서 보호하는 기능을 충실히 수행했다.

독립적인 소프트웨어 벤더에서 제공한 이 보안 프로그램들은 심지어 마이크로소프트 내부에서 생기는 버그들로 인한 피해까지 막아주는 역할을 했다. (이러한 버그들은 최근 급증하고 있는 것이 사실이다.)

유감스럽게도 마이크로소프트의 “버퍼 오버플로우” 와 “인터넷 익스플로러 익스플로잇” 등이 최근 매우 흔한 것이 되어 버렸다. 하지만 다행히도 맥아피, 시만텍, 체크포인트 소프트웨어 테크놀로지스 등의 보안 업체들이 건재하여 사용자들이 그들의 컴퓨터 생활을 보호 할 수 있게 끔 해주고 있다.

지난 몇 년 동안 사용자들(당신, 나, 가족들, 그리고 동료들)은 혁신적인고 매우 성숙된 보안 제품들을 제공하는 여러 기업들의 보안 솔루션들 중 하나를 택하여 이용할 수 있었다.

이러한 보안 프로그램들로 인해 보장 받은 비교적 안전한 컴퓨터 생활이 비스타에서는 보장받지 못할 수도 있을 것으로 보인다.

나는 이 이야기를 긍정적인 어투로 끝낼 수 있을 지 의문이다.

운영 체재의 핵심으로 들어가보면, 우리는 마이크로소프트가 ‘패치가드(PatchGuard)’ 라는 프로그램을 설치했음을 알 수 있는데, 이 프로그램은 지난 모든 윈도우 버전에서 허용되었고, 사용 가능했던 커널 서비스에 대한 접속을 막는 역할을 한다.

요약하자면, 패치가드라는 프로그램은 어떤 특정 내부 데이터 구조가 “hooked” 되면(흔히 악성 소프트웨어들이 컴퓨터에 데미지를 가할 때 발생하는 현상이다.) 컴퓨터와 충돌하게 되는 방식이다.

하지만 반응 감지와 침입 방지 기능을 하는 소프트웨어 또한 이렇게 “hook” 하는 방식을 사용한다. 즉, 나쁜 것들을 처리하기 위해 만들어진 프로그램이, 궁극적으로는 최신 보안 기술 또한 막는 누를 범하게 되고, 결국 사용자의 보안 상태는 더욱 나빠지게 되는 것이다.

이러한 상황이 계속되었을 시에 발생할 수 있는 가장 단적인 예로, 새로운 매스 메일 웜(이 메일을 통해 전파되는 웜)이 갑자기 등장하였을 경우를 가정해 보자. 일반적으로 알려진 바이러스들은 메일에 첨부된 파일 검색을 통해 악성 소프트웨어의 성격을 띤 파일에 대한 선별 작업을 하여 메일 전송 과정에서 이미 잡히게 된다. 전송된 파일에서 알려진 바이러스와 그 비트 패턴이 비슷하다고 감지 되었을 경우, 그 파일은 컴퓨터 내의 정책에 의해 차단되거나 삭제된다.

하지만 새로운 바이러스는 바이러스 팀에서 한 번도 공부하지 못한 종류이기 때문에 그 성격을 미리 감지하여 차단하기는 불가능하다. 그래서 제로 데이 공격은 기존의 바이러스 방지체계를 피해 커널로 들어갈 수 있다. 그 후 감염된 파일이 실행이 되었을 때, 그래서 바이러스가 실제로 작동을 시작하였을 때, 이 바이러스는 곧바로 컴퓨터 내에서 그들의 악한 임무를 수행하게 되는데, 매스 메일러인 경우에는 클라이언트의 주소록에 침입하여, 엄청난 양의 이 메일을 전송하기 시작한다.

이 이야기의 멋진 파트는 바로 보안 소프트웨어들이 이 바이러스에 대해 감지하고, 이를 퇴치하는 과정이다. 모든 현대 안티 바이러스 소프트웨어들은(위에서 언급하였던 기본적인 시그니처 파일에 대한 스캔 기능과 더불어) 지금 예를 들고 있는 매스 메일 웜의 제로 데이 어택과 같은 공격을 막을 수 있는 규범적 반응 감지 기술을 보유하고 있다.

웜이 커널로 침투했다는 사실에 대한 정보는 API를 ‘hooking’하고 있는 안티 바이러스 소프트웨어에 의해 감지되는데, 이들은 특정 API 콜을 채집하거나, 이 콜의 순서 또는 빈도를 분석하여 웜이 시스템에서 활동하고 있다는 사실을 감지해 낸다. 이후 이 안티 바이러스 소프트웨어에서는 애플리케이션 삭제 콜을 커널로 보내고, 이로 인해 웜은 제거 되는 것이다.

물론 다른 세부적인 내용들은 이 단순한 예에서 제외되어 있다. 하지만 핵심은, 이러한 방식이 최신 기술로 개발된 바이러스 퇴치 소프트웨어들이 바이러스를 차단하는데 사용하는 방식이라는 점이다. 이러한 기술은, 기존에 바이러스를 퇴치하는 시그니처 감지 기능과 함께 새로운 바이러스마저도 감지, 제로 데이 어택과 같은 공격을 차단할 수 있는 능력을 가질 수 있게 해주었다. 여기서 최고의 반전은 바로 패치 가드가 이러한 반응 기반 제로 데이 어택 감지 기능이 실행되는 것을 차단해 버린다는 사실이다.

보안 업체들에서 지난 수 년간 적용했던 매우 표준화된 기술인 API hooking 기술과 애플리케이션 삭제 기능이 차단되는 것이다. 마이크로소프트는 자신들이 이러한 기술들이 거둘 수 있는 성과를 대체할 수 있을 만한 특별한 기술이 없음에도 불구하고, 보안 소프트웨어들이 이러한 최신 기술들을 사용하지 못하게 막고 있는 것이다.

즉, 비스타의 보안 상태는, 보안 업체들의 반응 감지 기술들을 충분히 적용하고 사용할 수 있었던 XP 시절보다 더욱 취약하다고 볼 수 있다.

나는 이 이야기를 긍정적인 어투로 끝낼 수 있을 지 의문이다. 마이크로소프트의 윈도우 보안 센터와 패치가드로 인해 사용자들의 보안 솔루션 선택은 한정되어 버리고, 유용한 최신 기술들이 산업 전반에서 묻혀 버리는 문제, 그리고 무엇보다도, 이로 인해 보안이 더욱 취약해져 버리는 이러한 명백한 위험, 비스타가 껴안고 있는 숙제이다.

결국 마이크로소프트가 언젠가 현실을 직시하고, 비스타를 약간 변경하기를 바라는 산업 전반의 주장을 심사 숙고하여 이를 받아들이기를 바라는 수 밖에는 없을 듯 하다. @